【安全资讯】Elastic Kibana存在原型污染致任意代码执行漏洞（CVE-2025-25014）

近日，安恒信息CERT监测到Elastic Kibana存在原型污染致任意代码执行漏洞（CVE-2025-25014），攻击者可以利用Kibana中的原型污染漏洞通过针对机器学习和reporting endpoints构造恶意的HTTP请求，导致任意代码执行。

影响版本：

8.3.0 <= Kibana <= 8.17.5、Kibana 8.18.0、Kibana 9.0.0

安全版本：

Kibana 8.17.6、Kibana 8.18.1、Kibana 9.0.1

官方修复方案：

官方已发布修复方案，受影响的用户建议及时更新至安全版本。

https://github.com/elastic/kibana/releases

临时修复方案：

若用户无法即刻升级至安全版本，可在Kibana的配置中进行如下设置：

禁用机器学习：可以通过在yml文件中添加xpack.ml.enabled:false来禁用机器学习功能；self-hosted用户可以通过在kibana.yml文件中添加xpack.ml.ad.enabled: false来仅禁用异常检测功能。

禁用Reporting功能：可以通过在yml文件中添加xpack.reporting.enabled: false来禁用Reporting功能。

参考链接：

https://discuss.elastic.co/t/kibana-8-17-6-8-18-1-or-9-0-1-security-update-esa-2025-07/377868